Sauvegarde et reprise d'activité : plan type

Pourquoi un plan de sauvegarde et de reprise d’activité est indispensable pour un cabinet comptable

En 2023, 60 % des PME françaises ayant subi une cyberattaque ou une panne majeure ont mis plus de 48 heures à reprendre leur activité normale (source : ANSSI, Rapport 2023 sur la cybersécurité). Pour un cabinet comptable, où les délais fiscaux (déclarations de TVA, liasses fiscales, DSN) et les obligations légales (art. L123-14 du Code de commerce sur la tenue des comptes) sont imprescriptibles, une interruption prolongée peut entraîner :

• Des pénalités fiscales (majorations de 10 % à 80 % en cas de retard, art. 1727 du CGI)
• Une responsabilité civile professionnelle engagée (manquement à l’obligation de moyens, art. 1231-1 du Code civil)
• Une perte de confiance des clients, notamment en période de clôture ou d’audit.

Un Plan de Continuité d’Activité (PCA) et un Plan de Reprise d’Activité (PRA) structurés permettent de limiter ces risques en anticipant les scénarios de crise (cyberattaque, incendie, défaillance d’un prestataire cloud, etc.). Cet article propose un modèle type adapté aux cabinets comptables, conforme aux bonnes pratiques de l’ISO 22301 et aux exigences légales françaises.

---

1. Cartographie des risques : identifier les menaces critiques pour un cabinet

Avant de rédiger un PCA/PRA, il faut lister les risques spécifiques au secteur comptable. Voici les principales menaces, classées par probabilité et impact (méthode AMDEC – Analyse des Modes de Défaillance, leurs Effets et leur Criticité) :

Risque	Probabilité	Impact (1-5)	Mesures préventives
Cyberattaque (ransomware)	Élevée	5	Sauvegardes hors ligne, MFA, sensibilisation des équipes
Panne du prestataire cloud (ex : Cegid, Sage)	Moyenne	4	Contrat SLA vérifié, solution de bascule identifiée
Incendie/inondation	Faible	5	Sauvegardes géographiquement distantes, assurance “perte d’exploitation” vérifiée
Départ brutal d’un expert (maladie, démission)	Moyenne	3	Documentation des processus, délégation des signatures (art. L123-16 Code de commerce)
Erreur humaine (suppression de données)	Élevée	3	Droits d’accès restreints, journalisation des actions (RGPD, art. 30)

Sources légales à intégrer :

• Obligation de sécurité des données : Art. 32 du RGPD (chiffrement, tests de restauration).
• Responsabilité du cabinet en cas de perte de données clients : Art. L34-1 du Code des postes et communications électroniques (obligation de moyens renforcée pour les professionnels).

---

2. Structurer le Plan de Continuité d’Activité (PCA) : maintenir l’activité en mode dégradé

Le PCA vise à assurer la poursuite des missions essentielles pendant une crise. Pour un cabinet, les priorités sont :

1. Les déclarations fiscales et sociales (échéances incontournables).
2. La tenue des comptes clients (obligation légale, art. L123-12 du Code de commerce).
3. La communication avec les clients et l’Ordre des Experts-Comptables (OEC).

Modèle de PCA pour un cabinet comptable

A. Équipe de crise désignée

• Rôle : Prendre les décisions en urgence (ex : déclarer un sinistre à l’assurance, activer le PRA).
• Membres :
  • L’expert-comptable responsable (décisionnaire final).
  • Un collaborateur technique (maîtrise des sauvegardes).
  • Un référent communication (relation clients et OEC).
• Outil : Fiche de contact avec numéros personnels et procédures d’escalade.

B. Processus critiques à maintenir

Mission	Solution de secours	Délai max de reprise
Déclaration de TVA	Accès à un poste sécurisé avec logiciel de déclaration (ex : EDI-TDFC)	24h
Paie et DSN	Utilisation d’un logiciel de paie en local (ex : Ciel Paie) + clé USB chiffrée	48h
Tenue des comptes clients	Accès aux sauvegardes récentes (voir section 3) + outils collaboratifs (ex : SharePoint)	72h
Communication clients	Message type pré-rédigé (ex : “Incident en cours, délais respectés”) + FAQ sur le site	Immédiat

À noter :

• Les délais de reprise doivent être validés par l’assurance (vérifier la clause “perte d’exploitation” du contrat).
• Pour les déclarations fiscales, l’administration accepte les dépôts en retard si justifiés par un cas de force majeure (BOFiP-IF-CF-CF-10-20-§10), mais la preuve de l’incident doit être apportée (ex : constat d’huissier pour un incendie).

---

3. Plan de Reprise d’Activité (PRA) : restaurer les systèmes et les données

Le PRA intervient après la crise pour rétablir l’activité normale. Pour un cabinet, la priorité est la restauration des données comptables et fiscales, soumises à des obligations légales strictes.

A. Stratégie de sauvegarde conforme au RGPD et au Code de commerce

• Fréquence :
  • Données comptables : Sauvegarde quotidienne (obligation de traçabilité, art. L123-22 du Code de commerce).
  • Données fiscales : Sauvegarde après chaque déclaration (TVA, liasses, etc.).
• Supports :
  • 3-2-1 Rule : 3 copies, 2 supports différents, 1 hors site (ex : cloud sécurisé + disque dur externe en coffre).
  • Chiffrement obligatoire (art. 32 du RGPD).
• Tests de restauration :
  • Fréquence : Trimestrielle (recommandation ANSSI).
  • Preuve : Rapport de test archivé (pour justifier en cas de contrôle URSSAF ou fiscal).

Exemple de procédure de restauration :

1. Vérifier l’intégrité des sauvegardes (checksum).
2. Restaurer d’abord les données fiscales (priorité légale).
3. Vérifier la cohérence des soldes comptables avec les dernières déclarations.
4. Informer les clients par email certifié (preuve pour l’OEC).

B. Reprise des systèmes informatiques

• Ordre de priorité :
  1. Serveurs de production (logiciels de compta/paie).
  2. Postes de travail des experts (accès aux dossiers clients).
  3. Outils collaboratifs (emails, partage de fichiers).
• Fournisseurs de secours :
  • Identifier un prestataire cloud de repli (ex : Ovhcloud, AWS) avec un contrat pré-négocié.
  • Prévoir des licences temporaires pour les logiciels critiques (ex : Sage, Cegid).

Attention :

• Les contrats SaaS (ex : QuickBooks, Pennylane) doivent inclure une clause de continuité de service (SLA ≥ 99,9 %). À défaut, le cabinet peut engager la responsabilité du prestataire (art. 1231-1 du Code civil).

---

4. Aspects juridiques et assurantiels : se protéger en amont

A. Obligations légales du cabinet

• Tenue des documents comptables :
  • Durée de conservation : 10 ans (art. L123-22 du Code de commerce).
  • Sanctions : Jusqu’à 75 000 € d’amende en cas de destruction (même accidentelle) si négligence prouvée (art. 131-13 du Code pénal).
• Protection des données clients :
  • Notification à la CNIL en cas de violation de données sous 72h (art. 33 du RGPD).
  • Information des clients si risque pour leurs droits (art. 34 du RGPD).

B. Vérifier son assurance

• Garanties indispensables :
  • Perte d’exploitation : Couvre les frais fixes (salaires, loyers) pendant l’interruption.
  • Cyber-risques : Prise en charge des rançons (si légale), frais de restauration, et responsabilité civile.
  • Protection juridique : Défense en cas de litige avec un client ou l’OEC.
• Exclusions à surveiller :
  • Les pannes de sous-traitants (ex : hébergeur cloud) sont souvent exclues → négocier une extension.
  • Les erreurs de manipulation (ex : suppression de données) peuvent être couvertes si le PCA est documenté.

Exemple de clause à exiger :

“L’assureur garantit les frais de restauration des données comptables et fiscales, y compris ceux engagés pour respecter les obligations légales (art. L123-22 du Code de commerce), dans la limite de [montant] et sous réserve de la mise en œuvre d’un PCA conforme aux normes ISO 22301.”

---

5. Formation et tests : rendre le PCA/PRA opérationnel

Un plan non testé est inefficace. Voici les étapes clés :

A. Former les équipes

• Thèmes obligatoires :
  • Procédures d’urgence (ex : comment déclarer un sinistre à l’assurance).
  • Utilisation des outils de secours (ex : restauration depuis une sauvegarde).
  • Communication de crise (qui parle aux clients ? À l’OEC ?).
• Fréquence : Annuelle, avec simulation d’un scénario (ex : ransomware).

B. Organiser des tests réguliers

Type de test	Fréquence	Objectif
Test de restauration	Trimestriel	Vérifier que les sauvegardes sont exploitables.
Simulation de cyberattaque	Annuel	Tester la réaction de l’équipe (ex : isolation des systèmes infectés).
Test de bascule cloud	Semestriel	Valider que le prestataire de secours est opérationnel.
Exercice de communication	Annuel	Simuler une annonce publique (ex : fuite de données clients).

Preuves à conserver :

• Compte-rendu des tests (avec signatures).
• Liste des participants et des actions correctives.
• Ces documents peuvent être demandés par l’OEC ou l’assureur en cas de sinistre.

---

6. Modèle de checklist PCA/PRA pour un cabinet comptable

Pour faciliter la mise en œuvre, voici une checklist téléchargeable (à adapter selon la taille du cabinet) :

📋 Checklist PCA (à activer en cas de crise)

• Équipe de crise réunie (expert-comptable + technique + communication).
• Nature de l’incident identifiée (cyber, matériel, humain).
• Assurance contactée (déclaration de sinistre sous 48h).
• Clients informés (message type envoyé, FAQ en ligne).
• OEC averti si impact sur les missions légales (ex : retard de déclaration).
• Solutions de secours activées (ex : poste de travail de repli pour les déclarations).

🔄 Checklist PRA (après la crise)

• Sauvegardes restaurées et vérifiées (checksum, cohérence des soldes).
• Systèmes redémarrés dans l’ordre de priorité (fiscal → compta → collaboratif).
• Test de non-régression (ex : vérification que les déclarations TVA sont cohérentes).
• Retour d’expérience (REX) documenté (causes, actions correctives).
• Mise à jour du PCA/PRA (intégrer les enseignements du sinistre).

---

Conclusion : un PCA/PRA n’est pas une option, mais une obligation déontologique et légale

Pour un cabinet comptable